返回
session安全性探究和应用

session安全性探究和应用

ID:6058194

大小:33.00 KB

页数:10页

时间:2018-01-01

session安全性探究和应用_第1页
session安全性探究和应用_第2页
session安全性探究和应用_第3页
session安全性探究和应用_第4页
session安全性探究和应用_第5页
资源描述:

《session安全性探究和应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Session安全性探究和应用  【摘要】本文深入研究了在身份认证中维持用户状态信息的重要对象Session的工作原理,并依据现有的理论基础,从Web应用程序中身份认证面临的实际问题出发,提出了非正式注销存在的安全性问题。论文结合Session的工作过程和利用浏览器的缓存技术,提出具有实用性的解决方案,使Session在Web身份认证中的应用更加合理、有效,增加了身份认证的安全性。为了验证结论的有效性,将本文提出的解决方案应用于基于Web的网络考试系统中,证明了这种方案的适用性,达到本文的设计目的。【关键词】Web身份认证;Session失效;安全性Abstract:Thisart

2、iclefurtherstudytheworkingprincipleofSessionwhichareimportantobjectmaintainingtheuserstatusinformationatidentityauthentication.Andaccordingtoexistingtheory,startingfromtheidentityauthentication’spracticalproblemsinthewebapplication,proposedthesafetyproblemofinformalloggingoutandetc.Thispaperco

3、mbinestheworkingprocessofSession,andusingbrowser’scachetechnology,proposedpracticalsolutions.ItmakesSession’sapplicationintheweb10identityauthenticationmorereasonableandeffective,andincreasesidentityauthentication’ssafety.Inordertoverifythevalidityoftheconclusion,weapplytheproposingsolutiontow

4、eb’snetworktestsystem,itprovesapplicabilityofthisscheme,andachievethispaper’sdesignedpurpose.Keywords:Webidentityauthentication;Sessioninvalid;security1.引言Web中最薄弱部位的安全程度决定了整个网站的抗攻击能力,身份认证恰恰就是网站应用中最薄弱的环节,深入研究身份认证有助于整个网站的安全与稳定。但是很多开发人员由于缺少对Session的了解,影响了Web应用程序的安全。2.Session机制2.1Session产生背景随着动态网站

5、兴起,保持用户会话的连续性成为网站开发中身份认证的关键问题,Session在Web技术中的地位也日趋显著。由于HTTP协议的无状态记忆特性,客户端脚本每次和服务器进行交互时都需要开始一个新的连接。也就是说,服务器认为两次连续的请求之间没有任何关系。10在电子商务等一些交互网站中,应用程序要分辨不同的用户和在不同的页面之间传递数据等,所以保持会话的连续性是必不可少的。为了弥补HTTP协议的缺陷,Session产生了。2.2Session定义Session在RFC2109中的定义是:“允许客户端和服务器端通过使用HTTP的请求与响应头中的数据来交换状态信息的技术”。Session是开发

6、动态Web网站时,身份认证中使用的重要对象之一,是基于HTTP协议的、有状态的、利用具体的动态页面技术来实现的。在不同的环境中Session有不同的含义。从Web用户角度来讲,注册用户打开浏览器登录一个动态网站、访问网站、关闭浏览器结束访问,这一系列的动作构成一个会话;而从Web开发者的角度来讲,Session是一个数据结构,用来存储用户登录信息。2.3Session机制的工作流程对于每一个第一次向服务器提出网页请求的用户,Web服务器都会运用一个非常复杂的算法给它分配一个不会重复的编号,我们叫它SessionId,这个编号由24位字符组成,并保存在提出该申请的用户的客户端Cook

7、ie中,如果浏览器不存储Cookie,则它将依赖于URL进行工作。服务器用它来区分不同用户,同时服务器会自动产生与其相对应的Session对象。10一个网站不可能只有一个用户对其进行访问,当多个用户同时对网站进行访问时,服务器会根据附加在HTTP头中的SessionId将Session变量值分别保存在对应用户的Session结构中。2.4管理会话Session对象是用来保存用户会话期间所需的数据,相当于存在于网站多个页面间的全局变量。用Session存储字符串,数组和

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。